IIS 8.0 FTP-Anmeldeversuchsbeschränkungen

  • Artikel

von Robert McMurray

Kompatibilität

Version Hinweise
IIS 8.0 FTP-Anmeldeversuchsbeschränkungen wurden in IIS 8.0 eingeführt.
IIS 7.5 FTP-Anmeldeversuchsbeschränkungen wurden in IIS 7.0 oder IIS 7.5 nicht unterstützt.
IIS 7.0

Problem

Ein mögliches Sicherheitsrisiko für einen Server ist ein Brute-Force-Kennwortangriff über den FTP-Dienst. Da die für FTP verwendeten Konten häufig physische Benutzerkonten auf dem Hostbetriebssystem sind, ist es theoretisch möglich, den Namen des Administrators zu erraten, nachdem man den FTP-Servertyp bestimmt hat. Sobald ein Kontoname herausgefunden wurde, kann ein böswilliger Client eine Verbindung mit einem Server herstellen und versuchen, einen Brute-Force-Angriff auf dieses Konto auszuführen. (Beispiel: „Administrator“ für Windows-Systeme oder „Stamm“ für UNIX-Systeme.)

In IIS 7.5 wurden für den FTP-Dienst Erweiterbarkeits-APIs eingeführt, mit denen Entwickler benutzerdefinierte Authentifizierungsanbieter erstellen können, die Nicht-Windows-Konten Zugriff auf FTP ermöglichen. Dadurch wird die Angriffsfläche des FTP-Dienst erheblich reduziert, da diese FTP-Konten keine gültigen Windows-Konten sind und folglich keinen Zugriff auf Ressourcen außerhalb des FTP-Diensts haben. Mit den FTP-Authentifizierungserweiterbarkeitsfeatures in IIS 7.5 hat Microsoft Administratoren die Möglichkeit gegeben, die Wahrscheinlichkeit von Brute-Force-Angriffen auf Nicht-Windows-Konten durch Erstellen eines benutzerdefinierten Authentifizierungsanbieters zu reduzieren. Diese Informationen sind im folgenden Artikel dokumentiert:

Verwenden von verwaltetem Code (C#) zum Erstellen eines FTP-Authentifizierungsanbieters mit dynamischen IP-Einschränkungen

Lösung

In IIS 8.0 für Windows Server 2012 hat Microsoft ein integriertes Netzwerksicherheitsfeature hinzugefügt, das diese Funktionalität für alle Anmeldungen bietet, ohne dass ein benutzerdefinierter Authentifizierungsanbieter erstellt werden muss. In dieser exemplarischen Vorgehensweise werden die Schritte untersucht, die erforderlich sind, um FTP-Anmeldebeschränkungen zu aktivieren, damit Sie Brute-Force-Angriffe auf Ihren Server verhindern können.

Schrittanweisungen

Voraussetzungen:

  • Windows Server 2012-Computer mit IIS 8.0 und dem FTP-Dienst bereits installiert.

Problemumgehungen für bekannte Fehler:

Derzeit gibt es keine bekannten Fehler für dieses Feature.

Konfigurieren von FTP zum Verhindern von Brute-Force-Angriffen

Der FTP-Dienst kann so konfiguriert werden, dass der Zugriff auf den FTP-Dienst basierend darauf verweigert wird, wie oft sich ein FTP-Client innerhalb eines vom Benutzer angegebenen Zeitraums nicht authentifizieren konnte. Sobald die Anzahl der fehlgeschlagenen Anmeldeversuche erreicht wurde, schließt der Server die FTP-Verbindung zwangsweise, und die IP-Adresse der FTP-Clients wird für die Dauer des Timeouts am Zugriff auf den FTP-Dienst gehindert.

Führen Sie die folgenden Schritte aus, um den FTP-Dienst so zu konfigurieren, dass böswilligen Benutzern der Zugriff auf Ihren FTP-Dienst verweigert wird:

  1. Melden Sie sich als Administrator auf Ihrem Windows Server 2012-Computer an.
  2. Öffnen Sie den Internetinformationsdienste-Manager (IIS).
  3. Markieren Sie im Bereich Verbindungen den Namen Ihres Servers, und doppelklicken Sie dann in der Liste der Features auf FTP-Anmeldeversuchsbeschränkungen.
    Screenshot of the Connections pane with a focus on the F T P Logon Attempt Restrictions option.
  4. Aktivieren Sie das Kontrollkästchen FTP-Anmeldeversuchsbeschränkungen aktivieren, und geben Sie an, wie viele Anmeldeversuche fehlschlagen dürfen sowie den Zeitraum, mit dem der FTP-Dienst bestimmt, ob FTP-Clients der Zugriff verweigert werden soll.
    Screenshot of the F T P Logon Attempt Restrictions screen.
  5. Klicken Sie auf Anwenden.

Die Option „Nur in das Protokoll schreiben“ blockiert keine Anmeldeversuche. Stattdessen wird protokolliert, dass die Bedingung erfüllt wurde. Der IT-Administrator kann dann verschiedene Konfigurationsparameter ausprobieren, um auszuwerten, wie sich die Einstellungen auf Benutzer auswirken, bevor sie erzwungen werden.

Zusammenfassung

In dieser exemplarischen Vorgehensweise haben Sie erfahren, wie Sie den FTP-Dienst konfigurieren, um böswillige Clients daran zu hindern, Ihren FTP-Server anzugreifen, indem Sie das neue Feature „FTP-Anmeldeversuchsbeschränkungen“ in Windows Server 2012 konfigurieren.

Beachten Sie, dass es sich bei den FTP-Anmeldeversuchsbeschränkungen um Einstellungen auf Serverebene handelt. Sie können keine separaten Anmeldebeschränkungen pro Website festlegen. Da Angreifer versuchen, Zugriff auf Ihren Server und nicht auf eine einzelne Site zu erhalten, verweigert der FTP-Dienst böswilligen Benutzer den Zugriff auf Serverebene.